CounterACT 7.0
Contents
1. Login Windows Internet Explorer TR 469404sNooinhm 5 Ir IS Z htps11192 168 10 150gin ntm A Ell lx aeresoooirec oracr x Fie Edt View Favorites Tools Help Enterprise Login CT 1000 Type the Username and Password and click Submit Username Domain This IDRAC hd Submit 1 Navigieren Sie zu der IP Adresse oder dem Dom nennamen den Sie unter iDRAC Settings gt Network iDRAC Einstellungen gt Netzwerk konfiguriert haben 2 Geben Sie den Benutzernamen und das Kennwort ein die Sie zuvor unter User Configuration Benutzerkonfiguration im Einrichtungsmen f r das IDRAC System festgelegt haben 3 W hlen Sie dann Submit Senden Weitere Informationen zu iDRAC erhalten Sie im Benutzerhandbuch von iDRAC7 Es ist u erst wichtig die Standardanmeldedaten zu ndern 20 6 Pr fen der Verbindungen Pr fen der Verbindung zur Verwaltungsschnittstelle Um die Verbindung zur Verwaltungsschnittstelle zu testen melden Sie sich an der Appliance an und f hren Sie den folgenden Befehl aus fstool linktest Die folgenden Informationen werden angezeigt Management Interface status Status der Verwaltungsschnittstelle Pinging default gateway information Pingtest f r Standardgatewayinformationen durchf hren Ping statistics Pingstatistik Performing Name Resolution Test Test f r die Namensaufl sung ausf hren Test summary Testzusammenfassung Pr fen der Verbindung zwischen Switc2. Enterprise Port Serieller USB Ethernet Anschluss Anschl sse Anschl sse Systemidentifikationstaste 11 B Notieren der Schnittstellenzuweisungen Nachdem Sie die Installation der Appliance im Rechenzentrum abgeschlossen und CounterACT Console installiert haben werden Sie aufgefordert die Schnittstellenzuweisungen anzugeben Diese als Kanaldefinitionen bezeichneten Zuweisungen werden mit Hilfe des Assistenten f r die Anfangseinstellungen Initial Setup Wizard eingegeben der beim erstmaligen Anmelden bei Console ge ffnet wird Notieren Sie sich in der folgenden Tabelle die Schnittstellenzuweisungen um sie beim Durchf hren der Kanalkonfiguration in Console schnell nachschlagen zu k nnen C Einschalten der Appliance 1 Verbinden Sie das Netzkabel mit dem Netzanschluss auf der R ckseite der Appliance 2 Schlie en Sie das andere Ende des Kabels an eine geerdete Wechselstromsteckdose an 3 Schlie en Sie dann entweder eine Tastatur und einen Monitor an die Appliance an oder konfigurieren Sie die Appliance f r eine serielle Verbindung N here Informationen erhalten Sie im CounterACT Installation Guide CounterACT Installationshandbuch auf der CounterACT CD 4 Schalten Sie die Appliance auf der Vorderseite ein Wichtig Schalten Sie den Computer stets aus bevor Sie das Netzkabel abziehen VIcKJby4UNTeMallNHYTIP Hero WTO UCKIbY4UUTe 12 4 Konfigurieren der Appliance Halten Sie die folgenden Informat
3. hren des Pingtests 2222e2seseseneeeeeeeenenenennnnnen 22 7 Einrichten von CounterACT Console nn 23 Installieren von CounterACT Console 22e2eseeeeeeeeneneneeeenen 23 Anmelden 22seseeeeeneneeseeeeeeeneeneeeeeeneenensennenensnenn 24 Durchf hren der Anfangseinstellungen 2220sesseeeennenn 24 Kontaktinformationen 2e22cesseeeeneneenne een 26 Willkommen zu Counter ACT Version 7 0 Mit der NAC L sung Network Access Control Netzwerkzugriffsteuerung von ForeScout erhalten Kunden die vollst ndige Kontrolle ber die Sicherheit ihres Netzwerks ohne die Produktivit t des Unternehmens und der Endbenutzer einzuschr nken CounterACT kombiniert modernste NAC Technik mit Technologien zur Vorbeugung von Angriffen in einer einzigen Appliance CounterACT f hrt eine vollst ndige Endpunkt berpr fung und Zugriffsteuerung jedes Netzwerkger ts durch und kann nahtlos in jede bestehende IT Infrastruktur integriert werden In diesem Handbuch wird die Installation einer einzelnen eigenst ndigen CounterACT Appliance erl utert N here Einzelheiten oder Informationen zur Bereitstellung mehrerer Appliances f r unternehmensweiten Netzwerkschutz erhalten Sie im CounterACT Installation Guide CounterACT Installationshandbuch und dem Console User Manual CounterACT Console Benutzerhandbuch Diese Dokumente stehen auf der CounterACT CD im Verzeichnis docs zur Verf gung Dar
4. Der Datenverkehr wird zu einem Port am Switch gespiegelt und von der Appliance berwacht Je nach Anzahl der zu spiegelnden VLANs wird f r den Datenverkehr VLAN Tagging gem 802 1Q genutzt e Einzelnes VLAN untagged Wenn der berwachte Datenverkehr von einem einzelnen VLAN stammt ist f r den gespiegelten Datenverkehr kein VLAN Tagging erforderlich e Mehrere VLANs tagged Wenn der berwachte Datenverkehr von mehr als einem VLAN stammt muss f r den gespiegelten Datenverkehr VLAN Tagging gem 802 1Q verwendet werden Wenn zwei Switches als redundantes Paar miteinander verbunden sind muss die Appliance den Datenverkehr von beiden Switches berwachen In der Regel ben tigt die berwachungsschnittstelle keine IP Adresse Antwortschnittstelle ber diese Schnittstelle beantwortet die Appliance den Datenverkehr Der Antwortdatenverkehr dient dem Schutz vor sch dlichen Aktivit ten und zur Durchf hrung von Aktionen im Rahmen der NAC Richtlinie Zu diesen Aktionen geh ren beispielsweise die Umleitung von Webbrowsern oder die Blockierung durch eine Firewall Die damit verbundene Konfiguration des Switchports ist abh ngig vom zu berwachenden Datenverkehr e Einzelnes VLAN untagged Wenn der berwachte Datenverkehr aus einem einzigen VLAN stammt muss die Antwortschnittstelle so konfiguriert werden dass sie zum selben VLAN geh rt In diesem Fall ben tigt die Appliance eine einzige IP Adresse in dies
5. MAC Adresse eth3 untagged 4Mbps 0 2 99 8 eth3 untagged 4 Mbit s 0 2 eth3 1 9Mbps 0 0 100 0 eth3 1 9 Mbit s 0 0 100 eth3 2 3Mbps 0 1 eth3 2 3 Mbit s 0 1 eth3 4 542bps 100 0 eth3 4 542 Bit s 100 0 eth3 20 1Kbps 100 0 eth3 20 1 Kbit s 100 0 0 0 Show v lans i lnterfaces lt p rev n Jext gt q uit v VLANs i Schnittstellen anzeigen lt p zur ck n vor gt q beenden Schnittstellenmodus update 31 eth0 32 vlans ethl 1 vlans aktualisieren 31 eth0 32 VLANs ethl 1 VLANSs Interface Total Broadcast Mirrored To my MAC From my MAC Schnittstelle Gespiegelte bertragung gesamt An meine MAC Adresse Von meiner MAC Adresse eth0 3Kbps 42 3 0 0 eth0 3 Kbit s 42 3 eth1 475bps 0 0 100 0 eth1 475 Bit s 0 0 100 0 To my MAC An meine MAC Adresse MAC Zieladresse entspricht der MAC Adresse der Appliance From my MAC Von meiner MAC Adresse Der von dieser Appliance gesendete Datenverkehr MAC Ausgangsadresse entspricht der MAC Adresse der Appliance Zieladresse kann Broadcast oder Unicast sein Wenn kein Datenverkehr angezeigt wird berpr fen Sie ob die Schnittstelle einsatzbereit ist Geben Sie an der Appliance den folgenden Befehl ein ifconfig interface name up ifconfig Schnittstellenname up Durchf hren des Pingtests F r Sie zur berpr fung der Verbindung einen Pingtest von der Appliance zu einem Netzwerkdesktop durch So f
6. Name im DNS k nnen Sie bei Bedarf die Informationen f r ein dynamisches DNS aktualisieren IPV4 Settings IPV4 Einstellungen Vergewissern Sie sich dass das Feld Enable IPv4 IPv4 aktivieren auf Enabled Aktiviert eingestellt ist W hlen Sie unter Enable DHCP DHCP aktivieren entweder Enabled Aktiviert um eine dynamische IP Adressvergabe zu verwenden oder Disabled Deaktiviert wenn Sie statische IP Adressen vergeben Bei Aktivierung von DHCP werden IDRAC7 die IP Adresse das Gateway und die Subnetzmaske automatisch zugewiesen Wenn DHCP deaktiviert ist m ssen Sie die entsprechenden Werte unter Static IP Address Statische IP Adresse Static Gateway Statischer Gateway und Static Subnet Mask Statische Subnetzmaske manuell eingeben 17 NETWORK SETTINGS Enable NC NC Selection MAC Address Auto Negotiation Active NIC Interface COMMON SETTINGS Register DRAC on DNS DNS DRAC Name Auto Config Domain Name IPV4 SETTINGS Enable Pv4 Enable DHCP Static IP Address Static Gateway Static Subnet Mask Disabled Dedicated DRAC7 Enterprise only FO FAFDDSTDD ooff On L oE O e Dedicated DRAC Enterprise only O O Disabled Enabled Disabled Enabled oD Enabled O 6 W hlen Sie dann Back Zur ck 7 W hlen Sie User Configuration Benutzerkonfiguration IDRAC Settings IDRAC Settings m Event Log Power Con
7. ber hinaus haben Sie ber die Support Website unter http www forescout com support Zugriff auf die neusten Dokumentationen Artikel in der Wissensdatenbank und Aktualisierungen f r Ihre Appliance Lieferumfang Ihres CounterACT Pakets e CounterACT Appliance Kurzanleitung f r die Installation CounterACT CD mit Console Software CounterACT Console Benutzerhandbuch und CounterACT Installationshandbuch e Garantieunterlagen Montagehalterungen e Netzkabel Anschlusskabel f r die DB9 Konsole nur f r seriellen Anschluss berblick Zum Einrichten von CounterACT sind die folgenden Schritte erforderlich 1 Erstellen eines Bereitstellungsplans 2 Einrichten Ihres Switches 3 Anschlie en der Netzwerkkabel und erste Schritte 4 5 6 7 Konfigurieren der Appliance Remoteverwaltung Pr fen der Verbindungen Einrichten von CounterACT Console 1 Erstellen eines Bereitstellungsplans Vor der Installation sollten Sie berlegen wo die Appliance bereitgestellt werden soll Zudem sollten Sie sich mit den Anschl ssen an der Appliance Schnittstelle vertraut machen Ausw hlen des Bereitstellungsorts f r die Appliance Die Auswahl des richtigen Netzwerkstandorts f r die Installation der Appliance ist von entscheidender Bedeutung f r eine erfolgreiche Bereitstellung und eine optimale Leistung von CounterACT Der geeignete Standort ist abh ngig von Ihren jeweiligen Implementierungszielen und der gew nscht
8. hren Sie den Test durch 1 Melden Sie sich bei der Appliance an 2 F hren Sie den folgenden Befehl aus Ping network desktop IP Ping Netzwerkdesktop IP Standardm ig antwortet die Appliance selbst nicht auf die Ping Anfrage 22 7 Einrichten von CounterACT Console Installieren von CounterACT Console CounterACT Console ist eine zentrale Verwaltungsanwendung mit der die von der Appliance erkannten Aktivit ten angezeigt nachverfolgt und analysiert werden k nnen ber Console k nnen Richtlinien zu NAC Schutz vor Bedrohungen Firewall und sonstigen Bereichen definiert werden Weitere Informationen erhalten Sie im CounterACT Console User Manual CounterACT Console Benutzerhandbuch Mindestanforderungen Nicht dedizierter PC auf dem Windows NT 2000 2003 XP Vista 7 oder Linux ausgef hrt wird RAM 1 GB f r bis zu 10 000 Ger te 2 GB f r mehr als 10 000 Ger te Speicherplatz 1 GB Die Console Anwendung kann auf zwei verschiedene Arten installiert werden Mit Hilfe der integrierten Installationssoftware Ihrer Appliance 1 ffnen Sie auf dem Computer mit Console ein Browserfenster 2 Geben Sie die folgende Adresse ein http x x x x install Wobei x x x x der IP Adresse Ihrer Appliance entspricht Im Browser wird das Fenster f r die Console Installation ge ffnet 3 Befolgen Sie die Anweisungen auf dem Bildschirm Mit Hilfe der CounterACT CD 1 Legen Sie die CounterACT CD in das DVD Laufwer
9. mit Tap und die Antwortschnittstelle identisch sein Wenn f r den Datenverkehr an dem Port mit Tap beispielsweise VLAN Tagging gem 802 10 genutzt wird muss die Antwortschnittstelle ebenfalls als Port mit VLAN Tagging konfiguriert sein Aktiver f r Injection geeigneter Inline Tap Wenn die Appliance einen Inline Tap verwendet der f r Injection geeignet ist k nnen die Schnittstellen f r berwachung und Antwort zusammengefasst werden Die Konfiguration eines separaten Antwortports am Switch ist dann nicht erforderlich Diese Option kann f r jede Art von Upstream oder Downstream Switchkonfiguration verwendet werden BE J Admin LAN S o aE rey CounterACT berwachungsschnittstelle Antwortschnittstelle Switch berwachungsschnittstelle Antwortschnittstelle Switch F r Injection geeigneter Uplink Kombinierte berwachungs und Antwortschnittstelle Verwaltung 4 Antwort ber IP Layer f r Installationen mit Layer 3 Switches Die Appliance kann ihre eigene Verwaltungsschnittstelle f r die Beantwortung des Datenverkehrs nutzen Obwohl diese Option f r jeden berwachten Datenverkehr geeignet ist wird sie f r Situationen empfohlen in denen die berwachungsports der Appliance zu keinem VLAN geh ren und die Appliance deshalb nicht ber einen beliebigen anderen Switchport auf den berwachten Datenverkehr antworten kann Dies ist in der Regel der Fall wenn ein Link
10. zwischen zwei Routern berwacht wird Diese Option kann keine Anfragen ber das Address Resolution Protocol ARP beantworten sodass die F higkeit der Appliance zur Erkennung von Scanvorg ngen die auf IP Adressen im berwachten Subnetz abzielen eingeschr nkt ist Diese Einschr nkung entf llt wenn der Datenverkehr zwischen zwei Routern berwacht wird B Hinweise zur Switchkonfiguration VLAN Tagging gem 802 1Q e berwachung eines einzelnen VLAN Datenverkehr untagged Wenn der berwachte Datenverkehr aus nur einem einzigen VLAN stammt ist kein VLAN Tagging gem 802 10 erforderlich e berwachung mehrerer VLANs Datenverkehr tagged Wenn der berwachte Datenverkehr aus zwei oder mehr VLANs stammt muss f r berwachungs und Antwortschnittstelle VLAN Tagging gem 802 10 aktiviert werden Die Option f r die berwachung mehrerer VLANs wird empfohlen weil sie die beste Abdeckung gew hrleistet und gleichzeitig die Anzahl der zur Spiegelung erforderlichen Ports minimiert wird Wenn der Switch kein VLAN Tagging gem 802 1Q an den zur Spiegelung verwendeten Ports nutzen kann w hlen Sie eine der folgenden M glichkeiten Spiegeln eines einzigen VLAN Spiegeln eines einzelnen Uplink Ports untagged Verwenden der Option f r Antwort ber IP Layer Wenn der Switch nur einen Port spiegeln kann nutzen Sie f r die Spiegelung einen einzigen Uplink Port Auf diesem kann VLAN Tagging akt
11. ann eine VLAN ID ein wenn die f r die Kommunikation der CounterACT Komponenten verwendete Schnittstelle mit einem Port verbunden ist auf dem VLAN Tagging verwendet wird Wenn unter DNS server address DNS Serveradresse mehr als eine Adresse eingegeben werden muss verwenden Sie jeweils ein Leerzeichen als Trennzeichen Die meisten internen DNS Server l sen externe und interne Adressen auf M glicherweise m ssen Sie jedoch einen DNS Server zum Aufl sen externer Adressen hinzuf gen Da sich fast alle DNS Anfragen der Appliance auf interne Adressen beziehen sollte der DNS Server f r externe Adressen zuletzt eingegeben werden 10 Das Fenster Setup Summary Zusammenfassung der Konfiguration wird angezeigt Sie werden aufgefordert entweder allgemeine Konnektivit tstests durchzuf hren Einstellungen neu zu konfigurieren oder das Einrichten abzuschlie en Geben Sie D ein um die Konfiguration abzuschlie en Lizenz Nach der Installation m ssen Sie die anf ngliche Demolizenz installieren die Sie von dem f r Sie zust ndigen CounterACT Mitarbeiter erhalten haben Die Lizenz wird w hrend der Anfangseinstellungen f r Console installiert Diese anf ngliche Demolizenz ist f r eine gewisse Anzahl von Tagen g ltig Sie m ssen vor Ablauf dieses Zeitraums eine permanente Lizenz installieren Das genaue Ablaufdatum wird Ihnen in einer E Mail mitgeteilt Zudem werden in Console im Bereich Appliances Devices Appliances Ger te
12. durchf hren F r die Arbeit mit dem iDRAC Modul sind die folgenden Schritte erforderlich Aktivieren und Konfigurieren des IDRAC Moduls Herstellen einer Verbindung zwischen Modul und Netzwerk Anmelden bei IDRAC Aktivieren und Konfigurieren des IDRAC Moduls ndern Sie die IDRAC Einstellungen so dass Remotezugriff auf das CounterACT Ger t m glich ist In diesem Abschnitt werden die grundlegenden Integrationseinstellungen f r die Arbeit mit CounterACT beschrieben So konfigurieren Sie IDRAC 1 Aktivieren Sie das verwaltete System 2 Dr cken Sie w hrend des Selbsttests Power on Self test POST die F2 Taste 3 W hlen Sie auf der Seite System Setup Main Menu Hauptmen f r die Systemeinrichtung die Option iDRAC Settings iIDRAC Einstellungen System Setup System Setup Main Menu 16 4 W hlen Sie auf der Seite IDRAC Settings IDRAC Einstellungen die Option Network Netzwerk IDRAC Settings IDRAC Settings IDRAC Settings Version 145 450 aj IDRAC Firmware Version 145 45 Buld 18 System Summary nfiguration ww View the System Summary including server information and firmware revision 5 Konfigurieren Sie die folgenden Netzwerkeinstellungen Network Settings Netzwerkeinstellungen Vergewissern Sie sich dass das Feld Enable NIC NIC aktivieren auf Enabled Aktiviert eingestellt ist Common Settings Allgemeine Einstellungen Im Feld DNS DRAC Name DRAC
13. ebenfalls Informationen zu Ablaufdatum und Statuslizenz angezeigt Nachdem Sie eine permanente Lizenz erhalten haben wird diese Lizenz t glich durch den ForeScout Lizenzserver validiert Warnungen und Verst e im Zusammenhang mit der Lizenz werden im Bereich Device Details Ger tedetails angezeigt Lizenzen die ber einen l ngeren Zeitraum nicht validiert werden k nnen werden widerrufen Weitere Informationen zu Lizenzen erhalten Sie im CounterACT Installationshandbuch CounterACT Installation Guide Anforderungen an die Netzwerkverbindung Mindestens eines der CounterACT Ger te Appliance oder Enterprise Manager muss auf das Internet zugreifen k nnen ber diese Verbindung validiert der ForeScout Lizenzserver die CounterACT Lizenzen Lizenzen die ber einen l ngeren Zeitraum nicht authentifiziert werden k nnen werden widerrufen In diesem Fall sendet CounterACT einmal t glich eine Warnung per E Mail in der auf einen Kommunikationsfehler mit dem Server hingewiesen wird 15 5 Remoteverwaltung IDRAC7 Einrichtung Integrated Dell Remote Access Controller 7 IDRAC7 ist eine integrierte Serversysteml sung die Ihnen unabh ngig von Standort Betriebssystem via LAN oder Internet den Remotezugriff auf Appliances Enterprise Managers von CounterACT erm glicht ber das Modul erhalten Sie KVM Zugriff und k nnen Computer ein ausschalten und zur cksetzen sowie Aufgaben in Verbindung mit Fehlerbehebung und Wartung
14. em VLAN e Mehrere VLANs tagged Wenn der berwachte Datenverkehr aus mehr als einem VLAN stammt muss f r die entsprechenden VLANs auf der Antwortschnittstelle VLAN Tagging gem 802 10 aktiviert werden Die Appliance ben tigt dann eine IP Adresse f r jedes gesch tzte VLAN 2 Einrichten Ihres Switches A Verbindungsoptionen f r den Switch Die Appliance wurde so entwickelt dass sie nahtlos in eine Vielzahl von Netzwerkumgebungen integriert werden kann F r eine erfolgreiche Integration der Appliance in Ihrem Netzwerk m ssen Sie sicherstellen dass Ihr Switch f r die berwachung des ben tigten Datenverkehrs entsprechend eingerichtet ist Ihnen stehen verschiedene Optionen zur Verf gung um eine Verbindung zwischen Appliance und Switch herzustellen 1 Standardbereitstellung separate Schnittstellen f r Verwaltung berwachung und Antwort Bei der empfohlenen Bereitstellungsart werden drei separate Ports verwendet Diese Ports werden im Abschnitt Verbindungen der Appliance Schnittstelle genauer erl utert u Passiver Inline Tap Statt die Verbindung zu einem berwachungsport am Switch herzustellen kann die Appliance auch einen Inline Tap verwenden Ein passiver Tap erfordert zwei berwachungsports es sei denn es werden Rekombinations Taps verwendet In diesem Fall werden die beiden Duplexstr me in einem einzigen Port zusammengefasst Die Konfiguration des Datenverkehrs muss f r den Port
15. en Netzwerkzugriffsrichtlinie Die Appliance sollte in der Lage sein den Datenverkehr zu berwachen der f r die gew nschte Richtlinie relevant ist Wenn Ihre Richtlinie beispielsweise auf einer berwachung der Autorisierungsereignisse zwischen den Endpunkten und den Authentifizierungsservern des Unternehmens beruht muss die Appliance so installiert werden dass sie auf den Datenverkehr zwischen Endpunkt en und Authentifizierungsserver n zugreifen kann Weitere Informationen zu Installation und Bereitstellung erhalten Sie im CounterACT Installationshandbuch CounterACT Installation Guide das sich auf der im Lieferumfang dieses Pakets enthaltenen CounterACT CD befindet Verbindungen der Appliance Schnittstelle Die Appliance verf gt im Allgemeinen ber wih o drei Verbindungen zum Netzwerkswitch Verwaltungsschnittstelle Verwaltungsschnittstelle 2 ber diese Schnittstelle k nnen Sie pra CounterACT verwalten sowie Anfragen und weitreichende berpr fungen der Endpunkte durchf hren Die Schnittstelle muss mit einem Switchport verbunden sein der Zugriff auf alle Endpunkte im Netzwerk erm glicht berwachungsschnittstelle Antwortschnittstelle Jede Appliance ben tigt eine eigene Verwaltungsverbindung zum Netzwerk F r diese Verbindung ist eine IP Adresse im lokalen LAN sowie der Zugriff auf den TCP Port 13000 von den Computern aus erforderlich auf denen die CounterACT Console Verwaltungsanwendung ausgef hrt
16. figuration Thermal 18 8 Konfigurieren Sie unter User Configuration Benutzerkonfiguration die Einstellungen f r die folgenden Felder Enable User Benutzer aktivieren Vergewissern Sie sich dass dieses Feld auf Enabled Aktiviert eingestellt ist User Name Benutzername Geben Sie einen Benutzernamen ein LAN User Privilege Benutzerberechtigung f r LAN und Serial Port User Privilege Benutzerberechtigung f r seriellen Port W hlen Sie f r die Berechtigungsebenen jeweils Administrator Administrator aus Change Password Kennwort ndern Legen Sie ein Kennwort fest dass der Benutzer bei der Anmeldung eingeben muss IDRAC Settings User Configuration User D 2 Enable User ODisabed Enabied User Name root LAN User Privilege Administrator Serial Port User Privilege Admnstrator Change Password 9 W hlen Sie Back Zur ck und dann Finish Fertig stellen Best tigen Sie die nderungen der Einstellungen Die Netzwerkeinstellungen werden gespeichert und das System wird neu gestartet 19 Herstellen einer Verbindung zwischen Modul und Netzwerk IDRAC muss mit einem Ethernet Netzwerk verbunden werden blicherweise wird die Verbindung zu einem Verwaltungsnetzwerk hergestellt Die nachfolgende Abbildung zeigt die Position des IDRAC Ports auf der R ckseite der CT 1000 Appliance vr Anmelden bei iDRAC So melden Sie sich bei iDRAC an ct 1000 iDRAC7
17. h und Appliance berpr fen Sie ob die Verbindung zwischen Switch und Appliance ordnungsgem funktioniert bevor Sie das Rechenzentrum verlassen F hren Sie dazu an der Appliance f r jede erkannte Schnittstelle den Befehl stool ifcount aus fstool ifcount eth0 ethl eth2 Trennen Sie die einzelnen Schnittstellen mit einem Leerzeichen Dieses Tool zeigt fortw hrend den Netzwerkdatenverkehr an den angegebenen Schnittstellen an Es kann in zwei Modi verwendet werden via Schnittstelle oder via VLAN Der Modus kann ber die Anzeige ge ndert werden Neben der Gesamtanzahl von Bits pro Sekunde wird auch der Prozentsatz f r jede der folgenden Datenverkehrkategorien angezeigt Die berwachungsschnittstelle sollte haupts chlich gespiegelten Datenverkehr erkennen ber 90 e Die Antwortschnittstelle sollte haupts chlich Broadcast Datenverkehr erkennen Sowohl berwachungs als auch Antwortschnittstelle m ssen die erwarteten VLANs erkennen Befehlsoptionen v display in VLAN mode Im VLAN Modus anzeigen I display in interface mode Im Schnittstellenmodus anzeigen P show previous Vorheriges anzeigen N show next N chstes anzeigen q quit displaying Anzeige beenden 21 VLAN Modus update 4 eth3 14 vlans aktualisieren 4 eth3 14 VLANs Interface Vlan Total Broadcast Mirrored To my MAC From my MAC Schnittstelle VLAN Gespiegelte bertragung gesamt An meine MAC Adresse Von meiner
18. ie Standardinstallation aus 4 Die Aufforderung CounterACT Initial Setup CounterACT Anfangseinstellungen wird angezeigt Dr cken Sie zum Fortfahren die Eingabetaste 13 5 Das Men Select CounterACT Installation Type CounterACT Installationstyp ausw hlen wird ge ffnet Geben Sie 1 ein und dr cken Sie dann die Eingabetaste um die Standardinstallation der CounterACT Appliance durchzuf hren Die Einstellungen werden initialisiert Dies kann einige Zeit dauern 6 Wenn die AufforderungEnter Machine Description Computerbeschreibung eingeben erscheint geben Sie einen kurzen beschreibenden Text f r das Ger t ein und dr cken Sie dann die Eingabetaste Die folgende Meldung wird angezeigt gt gt gt gt gt gt Set Administrator Password Administratorken nwort festlegen lt lt lt lt lt lt This password is used to log in as root to the machine Operating System and as admin to the CounterACT Console Dieses Kennwort wird ben tigt um sich als Root Benutzer root beim Betriebssystem des Computers und als Administrator admin bei CounterACT Console anzumelden The password should be between 6 and 15 characters long and should contain at least one non alphabetic character Das Kennwort muss zwischen 6 und 15 Zeichen lang sein und mindestens ein nicht alphabetisches Zeichen enthalten Administrator password Administratorkennwort 7 Wenn die Aufforderung Set Administrat
19. ionen bereit wenn Sie mit der Konfiguration der Appliance beginnen CounterACT Administratorkennwort Bewahren Sie das Kennwort an einem sicheren Ort auf Fa Netzwerimasce Da IP AdressedesStandardgstemap E OnsDom nennme e Dnsserveradressen Nach dem Einschalten werden Sie mit folgender Meldung aufgefordert die Konfiguration durchzuf hren CounterACT Appliance boot is complete Starten der CounterACT Appliance ist abgeschlossen Press lt Enter gt to continue Dr cken Sie zum Fortfahren die Eingabetaste 1 ffnen Sie durch Dr cken der Eingabetaste das folgende Men 1 Configure CounterACT CounterACT konfigurieren 2 Restore saved CounterACT configuration Gespeicherte CounterACT Konfiguration wiederherstellen 3 Identify and renumber network interfaces Netzwerkschnittstellen ermitteln und neu nummerieren 4 Configure keyboard layout Tastaturlayout konfigurieren 5 Turn machine off Computer ausschalten 6 Reboot the machine Computer neu starten Choice 1 6 1 Auswahl 1 6 1 2 W hlen Sie Option 1 Configure CounterACT CounterACT konfigurieren Wenn die Aufforderung Continue yes no Fortfahren Ja Nein erscheint dr cken Sie die Eingabetaste um mit dem Einrichten zu beginnen 3 DasMen High Availability Mode Hochverf gbarkeitsmodus wird ge ffnet W hlen Sie durch Dr cken der Eingabetaste d
20. iviert werden Wenn der Switch die VLAN Tags gem 802 1Q entfernt m ssen Sie im Allgemeinen die Option zur Antwort ber den IP Layer verwenden Sonstiges Wenn der Switch nicht den eingehenden und den ausgehenden Datenverkehr spiegeln kann m ssen der gesamte Switch alle VLANs die das Senden Empfangen erm glichen oder lediglich eine Schnittstelle die das Ssenden Empfangen zul sst gespiegelt werden Vergewissern Sie sich dass Sie den zur Spiegelung verwendete Port nicht berlasten Bei einigen Switches z B Cisco 6509 muss m glicherweise zun chst die vorherige Portkonfiguration vollst ndig gel scht werden bevor neue Einstellungen vorgenommen werden k nnen In vielen F llen entfernt der Switch die 802 1Q Tags wenn die alten Portinformationen nicht gel scht werden 10 3 Anschlie en der Netzwerkkabel und erste Schritte A Auspacken der Appliance und Anschlie en der Kabel 1 Nehmen Sie die Appliance und das Netzkabel aus der Verpackung 2 Entfernen Sie den im Lieferumfang der Appliance enthaltenen Schienen Bausatz 3 Montieren Sie den Schienen Bausatz an der Appliance und die Appliance im Rack 4 Verbinden Sie die Netzwerkschnittstellen auf der R ckseite der Appliance ber Netzwerkkabel mit den Switchports Beispiele f r Schnittstellen auf der R ckseite CounterACT Appliance Systemidentifikationsanschluss Videoanschluss Steckplatz f r PCle Erweiterungskarten Netzanschluss IDRAC7
21. k ein 2 ffnen Sie mit einem Browser die auf der CD enthaltene Datei ManagementSetup htm 3 Befolgen Sie die Anweisungen auf dem Bildschirm 23 Anmelden Nach Abschluss der Installation k nnen Sie sich bei CounterACT Console anmelden 1 W hlen Sie dazu das CounterACT Symbol aus dass Sie zuvor als Verkn pfung an dem von Ihnen gew nschten Speicherort erstellt haben 2 Geben Sie im Feld IP Name IP Name die IP Adresse oder den Hostnamen der Appliance ein FENTE ForeScout IP Name Login Method Password m User Name Password v Save address and user name Cancel Geben Sie im Feld User Name Benutzername admin ein 4 Geben Sie unter Password Kennwort das Kennwort ein das Sie w hrend der Installation der Appliance erstellt haben 5 W hlen Sie Login Anmelden um Console zu starten Durchf hren der Anfangseinstellungen Wenn Sie sich zum ersten Mal anmelden wird der Assistent f r die Anfangseinstellungen Initial Setup Wizard ge ffnet Der Assistent f hrt Sie durch die grundlegenden Konfigurationsschritte damit CounterACT schnell einsatzbereit ist und effizient ausgef hrt wird CounterACT ap38v 10 38 1 63 setup Welcome CounterACT NETWORK ACCESS CONTR Welcome Welcome The Initial Setup Wizard will guide you through the steps required to configure the CounterACT Appliance License Time gai CounterACT Component CounterACT Appliance ail Hostname ap38
22. od ForeScout CounterACT 7 0 Einzelne CounterACT Appliance Kurzanleitung f r die Installation Inhaltsverzeichnis Willkommen zu CounterACT Version 7 0 2 2222ceeeseeeeeeeenn 3 Lieferumfang Ihres CounterACT Pakets 2222222eeseeeeneenenenn en 3 berblick anne ner 4 1 Erstellen eines Bereitstellungsplans 2 2scseeeeeen 5 Ausw hlen des Bereitstellungsorts f r die Appliance 5 Verbindungen der Appliance Schnittstelle 2ceceseseeeecn 5 2 Einrichten Ihres Switches 22e2ceseeeeeeeeeeseeeee nennen 8 A Verbindungsoptionen f r den Switch 22222eeseeeenennenn 8 B Hinweise zur Switchkonfiguration 22222eeseneeneenenenn en 9 3 Anschlie en der Netzwerkkabel und erste Schritte 11 A Auspacken der Appliance und Anschlie en der Kabel 11 B Notieren der Schnittstellenzuweisungen 22222eseeseeeernenn 12 C Einschalten der Appliance 22c2ceseeeeeeeneeeeenenen nennen 12 4 Konfigurieren der Appliance 22eseseseeeeseneeenennnen 13 5 Remoteverwaltung 424222422eseeneneneeneeneneenennenn 16 IDRACZ Einrichtung u nennen 16 6 Pr fen der Verbindungen 22 220sseneeeeeeennernenn 21 Pr fen der Verbindung zur Verwaltungsschnittstelle 21 Pr fen der Verbindung zwischen Switch und Appliance 21 Durchf
23. or Password Administratorkennwort festlegen erscheint geben Sie das gew nschte Kennwort die eingegebene Zeichenkette wird auf dem Bildschirm nicht angezeigt ein und dr cken Sie dann die Eingabetaste Sie werden aufgefordert das Kennwort zu best tigen Das Kennwort muss zwischen 6 und 15 Zeichen lang sein und mindestens ein nicht alphabetisches Zeichen enthalten Melden Sie sich an der Appliance als root und bei Console als admin an 8 Wenn die Aufforderung Set Host Name Hostname festlegen erscheint geben Sie den gew nschten Hostnamen ein und dr cken Sie dann die Eingabetaste Der Hostname kann zur Anmeldung bei Console verwendet werden und wird in Console angezeigt um Ihnen die Bestimmung der aktuell angezeigten CounterACT Appliance zu erleichtern 9 ImFenster Configure Network Settings Netzwerkeinstellungen konfigurieren werden Sie aufgefordert eine Reihe von Konfigurationsparametern einzustellen Geben Sie f r jeden Parameter einen Wert ein und wechseln Sie dann durch Dr cken der Eingabetaste zum n chsten Parameter Die Kommunikation zwischen den CounterACT Komponenten erfolgt ber Verwaltungsschnittstellen Die Anzahl der aufgelisteten Verwaltungsschnittstellen ist abh ngig vom jeweiligen Appliance Modell 14 Die Management IP address IP Adresse f r die Verwaltung ist die Adresse der Schnittstelle ber die die CounterACT Komponenten miteinander kommunizieren Geben Sie f r diese Schnittstelle nur d
24. rungsserver damit CounterACT analysieren kann welche Netzwerkhosts erfolgreich authentifiziert wurden IP Adresse Anbieter und SNMP Parameter des Coreswitches Weitere Informationen zur Arbeit mit dem Assistenten erhalten Sie im CounterACT Console User Manual CounterACT Console Benutzerhandbuch oder in der Online Hilfe 25 Kontaktinformationen Wenden Sie sich bei Problemen per E Mail unter support forescout com oder per Telefon unter einer der folgenden Rufnummern an den technischen Support von ForeScout Geb hrenfrei USA 1 866 377 8771 Telefon International 1 408 213 3191 Support 1 708 237 6591 Fax 1 408 371 2284 Abbildungen mit freundlicher Genehmigung der Dell Corporation 2014 ForeScout Technologies Inc Produkte gesch tzt durch folgende US Patente 6 363 489 8 254 286 8 590 004 und 8 639 800 Alle Rechte vorbehalten ForeScout Technologies und das ForeScout Logo sind Marken von ForeScout Technologies Inc Alle anderen Marken sind Eigentum ihrer jeweiligen Inhaber Die Nutzung jedes ForeScout Produkts unterliegt den Bedingungen des Endbenutzer Lizenzvertrags von ForeScout der unter www forescout com eula eingesehen werden kann CT7 0 QIG 26 ForeScout Technologies 900 E Hamilton Ave Suite 300 Campbell CA 95008 USA 400 00020 00 Geb hrenfrei 1 866 377 8771 Telefon International 1 408 213 3191 www forescout com
25. v User Directory i Domaine Description ap Authentication Servers Internal Network Enforcement Mode Channels Switch Policy Inventory Finish Cancel 24 Vor Beginn der Anfangseinstellungen Halten Sie die folgenden Informationen bereit wenn Sie mit dem Assistenten beginnen Informationen Adresse des von Ihrem Unternehmen verwendeten NTP Servers optional IP Adresse f r die interne E Mail Weiterleitung Dies erm glicht das Senden von E Mails aus CounterACT wenn die Appliance keinen SMTP Datenverkehr zul sst optional E Mail Adresse des CounterACT Administrators Die im Rechenzentrum festgelegten Zuweisungen f r berwachungs und Antwortschnittstelle F r Segmente oder VLANs ohne DHCP ben tigen Sie das Netzwerksegment oder die VLANs mit denen die berwachungsschnittstelle direkt verbunden ist sowie eine permanente IP Adresse f r jedes VLAN das mit CounterACT verwendet wird Diese Informationen werden zum Einrichten von Enterprise Manager nicht ben tigt IP Adressbereiche die durch die Appliance gesch tzt werden alle internen Adressen einschlie lich nicht verwendeter Kontoinformationen f r das Benutzerverzeichnis und die IP Adresse des Servers mit dem Benutzerverzeichnis Anmeldedaten f r die Dom ne einschlie lich Kontoname und Kennwort f r die Dom nenadministration Authentifizie
26. wird Die Verwaltungsschnittstelle muss auf die folgenden Komponenten Ihres Netzwerks zugreifen k nnen De 22 Erm glicht Zugriff auf die CounterACT Befehlszeilenschnittstelle Bl 2292 Hochverf gbarkeit Erm glicht Zugriff auf physische CounterACT Ger te die zum Hochverf gbarkeitscluster geh ren Verwenden Sie den TCP Port 22 um auf die gemeinsame virtuelle IP Adresse des Clusters zuzugreifen Erm glicht CounterACT die Durchf hrung einer umfassenden Untersuchung und Kontrolle von Windows Endpunkten mit Hilfe von RPC Erm glicht CounterACT die Durchf hrung einer umfassenden Untersuchung und Kontrolle von Windows Endpunkten mit Hilfe von WMI 445 139 TCP 2200 Secure Connector Erm glicht SecureConnector die Herstellung einer sicheren mit SSH verschl sselten Verbindung zwischen Appliance und Macintosh Linux Computern SecureConnector stellt den Zugriff auf nicht verwaltete Endpunkte ber ein Shellskript bereit dass auf dem Desktop ausgef hrt wird w hrend der Host mit dem Netzwerk verbunden ist Erm glicht CounterACT die Durchf hrung einer umfassenden Untersuchung und Kontrolle von Macintosh und Linux Endpunkten Dienst zum Senden von E Mails aus CounterACT TCP 80 HTTP Erm glicht HTTP Umleitungen TCP 443 HTTPS Erm glicht HTTP Umleitungen ber SSL TCP 13000 CounterACT Zu Erm glicht Verbindungen zwischen Console und Appliance In Systemen mit mehreren CounterACT Appliances sind
27. zudem Verbindungen zwischen Console und Enterprise Manager sowie zwischen Enterprise Manager und jeder Appliance m glich UDP 53 DNS Von Erm glicht CounterACT die Aufl sung interner IP Adressen UDP 123 NTP Von Erm glicht CounterACT den Zugriff auf einen NTP Zeitserver CounterACT verwendet standardm ig ntp foreScout net UDP 161 SNMP Von Erm glicht CounterACT die Kommunikation mit Komponenten der Netzwerkinfrastruktur wie z B Switches und Router Weitere Informationen zur Konfiguration von SNMP erhalten Sie im CounterACT Console User Manual CounterACT Console Benutzerhandbuch 6 IIGE 25 SMTP 10003 Secure Zu Erm glicht SecureConnector die Connector Herstellung einer sicheren mit SSL verschl sselten Verbindung zwischen Appliance und Windows Computern ber diese Verbindung empf ngt und beantwortet SecureConnector Anfragen f r berpr fungen und Aktionen Der gesamte CounterACT Datenverkehr zwischen SecureConnector und der Appliance wird ber die sichere Verbindung bertragen Von UDP 162 SNMP Erm glicht CounterACT den Empfang von SNMP Traps von Komponenten der Netzwerkinfrastruktur wie z B Switches und Router Weitere Informationen zur Konfiguration von SNMP erhalten Sie im CounterACT Console User Manual CounterACT Console Benutzerhandbuch berwachungsschnittstelle Diese Verbindung erm glicht die berwachung und Nachverfolgung des Netzwerkdatenverkehrs durch die Appliance
Download Pdf Manuals
Related Search